Cybersicherheit | Digitalisierung | Compliance

Das im November 2025 beschlossene Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie modernisiert das deutsche IT-Sicherheitsrecht. Die neuen Regeln, die voraussichtlich Ende 2025/Anfang 2026 in Kraft treten werden, verlangen von bestimmten Unternehmen und von der Bundesverwaltung höhere Sicherheit im Bereich Cybersicherheit. Mit dem Inkrafttreten müssen Unternehmen prüfen, ob sie in den Anwendungsbereich fallen und die erforderlichen Maßnahmen umsetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Aufsicht über die Unternehmen übernehmen, die unter die neuen Vorschriften fallen.

Die EU-Verordnung über entwaldungsfreie Produkte (EUDR) zielt darauf ab, die Entwaldung und Waldschädigung weltweit zu reduzieren. Danach sollen Unternehmen sicherstellen, dass bestimmte Rohstoffe und Produkte, die sie in der EU in Verkehr bringen oder ausführen, aus entwaldungsfreien Gebieten stammen und den gesetzlichen Vorschriften des Erzeugerlandes entsprechen. Betroffen sind Erzeugnisse, die unter anderem Rohstoffe, wie Rinder, Kakao, Kaffee, Ölpalme, Kautschuk, Soja und Holz enthalten. Der Anwendungsbeginn der EUDR wurde bereits um 12 Monate auf den 30. Dezember 2025 verschoben worden. Derzeit wird auf EU-Ebene eine weitere Verschiebung diskutiert, um mittleren Unternehmen eine Übergangsfrist von 6 Monaten zu ermöglichen und die Anwendung für Kleinst- und kleine Unternehmen auf den 30. Dezember 2026 zu verschieben.

Mit der EU-Verordnung über die allgemeine Produktsicherheit (GPSR) wurden Änderungen des Produktsicherheitsrechts beschlossen, die Hersteller, Händler und Importeure seit 13. Dezember 2024 in die Pflicht nimmt. Darüber hinaus ist parallel 2024 die neue EU-Produkthaftungsrichtlinie 2024/2853 in Kraft getreten, deren Umsetzung in deutsches Recht aktuell mit einem Gesetzesentwurf zur Modernisierung der Produkthaftung geplant ist. Kern der Neuregelungen ist insbesondere die Anpassung an die Anforderungen der Digitalisierung. Künftig werden auch Software und KI-Produkte den Haftungsregelungen unterliegen. Das neue Produkthaftungsgesetz soll am 9. Dezember 2026 in Kraft treten.

Mit der EU-Corporate Sustainability Reporting Directive (CSRD) sollen der Kreis der Unternehmen, die über Ihre Nachhaltigkeit Bericht erstatten müssen, ausgeweitet und die Maßstäbe des Berichts vereinheitlicht werden. Die ursprünglichen Pläne zur Einführung der Berichtspflicht ab 2025wurden durch die sog. „Stop-the-clock“-Richtlinie formal verschoben. Kapitalmarktorientierte kleine und mittlere Unternehmen erhalten somit einen Aufschub. Der vorgesehene Beginn der Berichtspflicht für große Unternehmen sowie börsennotierte kleine und mittlere Unternehmen wird jeweils um zwei Jahre verschoben, sodass der Startschuss aktuell für erste Gruppe zum 1. Januar 2027 sowie für börsennotierte kleine und mittlere Unternehmen zum 1. Januar 2028 fällt. Zudem ist die CSRD noch nicht in deutsches Recht umgesetzt.

Unternehmen, die Getränkebecher, Tüten und Folienverpackungen und andere Produkte vertreiben, sind nach dem Einwegkunststofffondsgesetz (EWKFondsG) verpflichtet, sich an den Kosten der Abfallentsorgung zu beteiligen. In diesem Rahmen müssen sich bestehende Unternehmen auf der Plattform „DIVID“ registrieren und die bereitgestellten Mengen der betroffenen Produkte melden. Betroffen sind Produzenten, Befüller, Verkäufer oder Importeure entsprechender Produkte. Bis zum 31. Dezember 2026 müssen sich nun auch Hersteller von Feuerwerkskörpern beim Umweltbundesamt registrieren lassen.

Stand: 3. Dezember 2025